<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<div class="moz-cite-prefix">Hallo!<br>
Am 2015-10-12 um 10:33 schrieb Adi Kriegisch:<br>
</div>
<blockquote cite="mid:20151012083301.GI24924@kriegisch.at"
type="cite">
<pre wrap="">Hallo!
</pre>
<blockquote type="cite">
<pre wrap="">ich betreibe in einem Schrebergartenhaus den Knoten gatt12 mit der Antenne
NanoBeam M2.
</pre>
</blockquote>
<pre wrap="">[...]
</pre>
<blockquote type="cite">
<pre wrap="">Jetzt hab ich folgendes Problem:
Eine Zeitlang konnte ich keine verschlüsselten Seiten aufrufen (<a class="moz-txt-link-freetext" href="https://">https://</a>).
Auch Google ging nicht. Dieses Problem scheint sich in Luft aufgelöst zu
haben, aber trotzdem gibts noch komplikationen. Ich kann einige Seiten
nicht öffnen, ich erkenn aber kein Muster darin. Also z.B.: kickstarter.com,
upc.at und noch ein paar andere funktionieren nicht.
</pre>
</blockquote>
<pre wrap="">Dieses "Phänomen" konnte ich schon ein paar Mal beobachten, wenn irgendwo
(ev. auch auf Zwischenknoten) die MTU verstellt ist und per Firewall ICMP
geblocked wird (wegen MTU path discovery).</pre>
</blockquote>
Dieses Problem ist bei NAT Trunks auch bei der
Mobilfunkdatenübertragung allgegenwärtig.<br>
<br>
Im Funkfeuer-Netz ist vermutlich bei einem oder mehreren Router
Extern-Extern-NAT aktiviert. Das Blocken von ICMP ist dann nicht
zwangsläufig die Ursache.<br>
Das Problem liegt darin, dass die auf OpenWRT-basierenden
Funkfeuer-Firmwares allesamt in der Standardeinstellung, wenn NAT
aktiviert ist, jedes Paket - auch von öffentlichen IPs natten.<br>
<br>
Wenn normal geroutet würde, müsste die/eine externe IP Deiner
Nanobeam als Quelle einer Anfrage aufscheinen - Du kannst das unter
zb<br>
<a class="moz-txt-link-freetext" href="http://whatismyipaddress.com/de/meine-ip">http://whatismyipaddress.com/de/meine-ip</a><br>
<br>
prüfen.<br>
Steht dort eine IP, die nicht Dir gehört, aber im Funkfeuernetz
liegt, dann ist dieser Router die Ursache.<br>
<br>
Der Betreiber muss dann in der 0xFF-Zone seiner Firewall unter
"Erweitert" die Quellnetze für NAT eintragen. Das ist in der Regel
sein internes LAN, das gem. RFC1918 10.0.0.0/8, 172.16.0.0/12 oder
192.168.0.0/16 sein kann. Auch der APIPA-Range (Zeroconf)
169.254.0.0/16 kann sinnvollerweise dort einzutragen, wenn das
gewünscht ist.<br>
<br>
Jede IP, die dann nicht einem dieser Ranges entspricht, wird normal
geroutet.<br>
Tritt das Problem nach der Korrektur noch bei einer weiteren IP auf,
die nicht die Deine ist, hat ein weiterer Router dasselbe Problem.
Dort würde dann üblicherweise auch die MTU Path Discovery
fehlschlagen, wenn auf dem ersten Router ICMP nicht geblockt war.<br>
<br>
<blockquote cite="mid:20151012083301.GI24924@kriegisch.at"
type="cite">
<pre wrap="">
Der "Effekt" erklärt sich dadurch, daß alle Pakete, die 1500 Byte groß sind
irgendwo unterwegs verworfen werden. Gerade HTTPS-Handshakes bestehen aufgrund
des Schlüsselaustausches i.a. immer aus zumindest einem "vollen" 1500 Byte
Paket; Web 17.0-Seiten laden üblicherweise ziemlich viel Javascript von
irgendwelchen CDNs und das kommt dann natürlich auch nicht an...
Ev. kommst Du mit tracepath und "ping -s" der Sache auf die Spur...</pre>
</blockquote>
Detto mit OpenVPN über Mobilfunk...<br>
Im Falle eines solchen Tunnels helfen üblicherweise die folgenden
Parameter: tun-mtu 1500;fragment 1280;mssfix;<br>
Der Tunnel würde dann maximal Fragmente mit 1280 Byte übertragen uz.
fragmentiert. Intern wäre die MTU wie üblich 1500.
Performanceverlust inklusive.<br>
<blockquote cite="mid:20151012083301.GI24924@kriegisch.at"
type="cite">
<pre wrap="">
Glg Adi
</pre>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">--
Wien mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Wien@lists.funkfeuer.at">Wien@lists.funkfeuer.at</a>
<a class="moz-txt-link-freetext" href="https://lists.funkfeuer.at/mailman/listinfo/wien">https://lists.funkfeuer.at/mailman/listinfo/wien</a></pre>
</blockquote>
<br>
LG<br>
Erich<br>
</body>
</html>